xss
Czy atak XSS może uzyskać pliki cookie HttpOnly?
Przeczytanie tego postu na blogu o plikach Cookie HttpOnly sprawiło, że zacząłem myśleć, czy możliwe jest uzyskanie pliku co ... Szukam konkretnie innych sposobów, które mogą stać się problemem, który nie polega na wadach specyficznych dla przeglądarki.
Czy ten zestaw wyrażeń regularnych w pełni chroni przed skryptami krzyżowymi?
Jaki jest przykład czegoś niebezpiecznego, co nie zostanie złapane przez poniższy kod?
EDIT: po kilku komentarzach dodałem k ... , RegexOptions.IgnoreCase);
s = Regex.Replace(s, @"onunload", "onSAFEunload", RegexOptions.IgnoreCase);
return s;
}
Czy budowanie ciągów HTML w Javascript jest naprawdę niebezpieczne?
Firma, która hostuje naszą stronę, sprawdza nasz kod przed wdrożeniem - niedawno nam o tym powiedzieli:
Ciągi HTML nigdy ... con"></span>' );
Czy to prawda? Czy ktoś może podać przykład ataku XSS to może wykorzystać ciąg HTML jak pierwszy?
Które przeglądarki obsługują pliki cookie HttpOnly?
Które przeglądarki obsługują pliki cookie HttpOnly i od której wersji?
Zobacz http://www.codinghorror.com/blog/archives/001167.html do omówienia plików cookie HttpOnly i zapobiegania XSS.
Jak Działa Google Global Login?
Za każdym razem, gdy loguję się do jednej usługi Google, jestem automatycznie zalogowany we wszystkich innych witrynach w róż ... głem znaleźć żadnych informacji. Mógłbym wyciągnąć firebuga i spróbować się dowiedzieć, ale jestem pewien, że ktoś tutaj wie.
Angular2 ASP.NET Core AntiForgeryToken
Mam aplikację Angular2 . It is running within ASP.NET 5 (Rdzeń) .
Wykonuje połączenia Http do kontrolera, który działa dobr ... w pełni.
Jak zintegrować kontrole Antyforgerytoken w Angular2 przeciwko ASP.NET 5 gdzie formy są czyste kanciaste?
Dzięki.
Jak zapisać HTML do bazy danych i pobrać go poprawnie
Nauka bezpieczeństwa w dzisiejszych czasach:)
Muszę zezwolić użytkownikom na wprowadzanie tekstu w formie i zezwolić im na n ... > <p>Image:</p> <p>
Więc co zrobiÄ ‡ aby poprawnie wyĹ " wietliÄ ‡ ten HTML (pogrubienie, lista itp.)?
Cross-site AJAX requests
Muszę złożyć żądanie AJAX ze strony internetowej do usługi internetowej REST hostowanej w innej domenie.
Chociaż działa to d ... r("Content-type", "text/xml");
request.send(payload);
Jak mogę to zrobić w innych przeglądarkach poza Internet Explorerem?
Jak Kątownik obsługuje XSS lub CSRF?
Jak Angular (2) obsługuje XSS i CSRF. Radzi sobie z tymi atakami?
Jeśli tak, to co muszę zrobić, aby skorzystać z tej ochron ... ub czy jest to w ogóle to, czego szukam.
W https://angular.io / strona nie znalazłem nic na ten temat (lub I przeoczyłem).
Jest jQuery.metoda text () XSS bezpieczna?
Mam niepodpisane dane od użytkowników.
Więc jest to bezpieczne w użyciu w ten sposób:
var data = '<test>a&f"#&l ... ieś problemy, takie jak kodowanie lub jakieś konkretne symbole, na które powinienem uważać i dodać bardziej ścisłą walidację?
XSS - jakie znaczniki i atrybuty HTML mogą wyzwalać zdarzenia Javascript?
Próbuję zakodować bezpieczny i lekki Oczyszczacz HTML oparty na białej liście, który będzie używał DOMDocument. W celu unikni ... ć odporna na jakikolwiek wektor ataku XSS, jaki mógłbym na niego rzucić.
Bardzo doceniam wszystkie cenne odpowiedzi, dzięki.
Atak XSS omijający funkcję htmlspecialchars () w atrybucie value
Załóżmy, że mamy ten formularz, a ewentualną częścią, którą użytkownik może wprowadzić złośliwy kod, jest poniższy
...
< ... .fromCode(.....), aby ominąć cytaty, ale nadal nie mogę uzyskać prostego okna ostrzegawczego, aby wyskoczyć.
Jakieś pomysły?
Najlepsza Praktyka: Legalne Skrypty Między Stronami
Podczas gdy Skrypty cross-site są ogólnie uważane za negatywne, natknąłem się na kilka sytuacji, w których jest to konieczne. ... ego. Jaki jest najlepszy sposób, aby Skrypty cross-site działały specjalnie w celu włączenia treści z zupełnie innej domeny?
Funkcja bezpiecznego czyszczenia XSS (regularnie aktualizowana)
Od kilku dni poluję wokół sieci, próbując to rozgryźć, ale otrzymuję sprzeczne odpowiedzi.
Czy istnieje Biblioteka, klasa lu ... poprawnie chronić XSS, to chciałbym zobaczyć jak to robią w kodzie.
Każda pomoc bardzo doceniana, przepraszam za długi post!
Jak wyczyścić kod HTML, aby zapobiec atakom XSS w Javie lub JSP?
Piszę aplikację opartą na serwletach, w której muszę dostarczyć system wiadomości. Spieszę się, więc wybieram CKEditor , aby ... , ale wszystkie odpowiedzi odnoszą się do filtrowania wszystkich znaczników HTML: chcę zachować ważne znaczniki formatowania.
Czym jest cross site scripting
Pod tym linkiem: http://www.acunetix.com/websitesecurity/cross-site-scripting / pod The Theory of XSS jest napisane: the ha ... iek uzyskać dostęp do kodu źródłowego strony internetowej? Czy może wstrzyknąć złośliwy skrypt bez dostępu do źródłowego jsp?
Unikanie HTML w Rails
Jaki jest zalecany sposób na uniknięcie HTML, aby zapobiec lukom XSS w aplikacjach Rails?
Czy należy zezwolić użytkownikowi ... lnego tekstu w bazie danych, ale unikanie go podczas wyświetlania? Czy należy dodać filtry before_save, aby uniknąć wejścia?
Kiedy najlepiej dezynfekować wkład użytkownika?
Użytkownik jest nierzetelny. Nigdy nie ufaj niegodnym zaufania wkładom użytkownika. Rozumiem. Zastanawiam się jednak, kiedy j ... czone" dane mogą być nieświadomie lub przypadkowo niebezpieczne. Tak czy siak, jaka metoda jest najlepsza i z jakich powodów?
jak ustawić nagłówek Http X-XSS-Protection
Próbowałem to ująć:
<meta http-equiv="X-XSS-Protection" content="0">
W znaczniku <head> ale nie mieli szczęścia. Staram się pozbyć nieznośnego IE zapobiegającego cross-site scirpting
Co to jest Cross Site Script Inclusion (XSSI)?
Ostatnio widziałem xssi wspomniane na wielu stronach, np. exploity i zabezpieczenia aplikacji internetowych :
Przeglądar ... . Rozumiem XSS i XSRF ale XSSI jest dla mnie trochę tajemniczy.
Czy ktoś może szkicować exploita opartego na XSSI?
Thanks